Quais devem ser as permissões do diretório, certificado e chave SSL do Apache?

50

Eu tenho meus arquivos cert.peme cert.keyem /etc/apache2/sslpastas.

Quais seriam as permissões e a propriedade mais seguras de:

  1. /etc/apache2/ssl diretório

  2. /etc/apache2/ssl/cert.pem Arquivo

  3. /etc/apache2/ssl/cert.key Arquivo

(Garantir o https://acesso funciona, é claro :)

Obrigado,

JP

Vai
fonte

Respostas:

69

As permissões de diretório devem ser 700, as permissões de arquivo em todos os arquivos devem ser 600 e o diretório e os arquivos devem pertencer à raiz.

Mike Scott
fonte
5
Obrigado. Isso funciona. Uma coisa - acho que os arquivos só precisam ser lidos pela raiz que inicia o daemon apache. Por que precisamos conceder permissões de "gravação" ao arquivo?
23
Os arquivos precisarão ser atualizados periodicamente, pois seus certificados expiram e precisam ser renovados, e, como não há risco real de segurança para torná-los graváveis, torna a vida um pouco mais simples. Eles não precisam ser legíveis para uso no dia-a-dia; portanto, você pode usar 400 permissões (e 500 no diretório) se não se importar de ter que mexer com elas no momento da renovação.
Mike Scott
5
Deve-se notar que o Apache Docs oficial não concorda com as sugestões originais de Mike sobre SSL e segue sua segunda sugestão aqui nos comentários.
meshfields
6
Qual deve ser o dono?
John Bachir
onde você encontrou o "Apache Docs oficial" sobre ssl
user9
0

O mais importante é garantir que os *.keyarquivos sejam legíveis apenas porroot ( SSL / TLS Strong Encryption: FAQ ).

Minha experiência é que isso poderia ser realizado também para outros arquivos dos certificados (como *.crtpor exemplo).

Portanto, devemos definir rootcomo o único proprietário do diretório e de seus arquivos:

$ chown -R root:root /etc/apache2/ssl

E podemos definir as permissões mais restritivas para esta localização:

$ chmod -R 000 /etc/apache2/ssl

Em alguns casos específicos, a localização pode ser diferente, é claro.

simhumileco
fonte